
© 




Europalsches Patentamt 
European Patent Office 
Office europeen des brevets 



33. ■ 

© VerCffentlichungsnummer: 0 557 566 A1 



EUROPAISCHE PATENTANMELDUNG 



© Anmeldenummer: 921034823 
© Anmeldetag: 28.02.92 



© int. CIA H04Q 11/04, H04Q 3/545, 
H04M 3/42 



© Veroffentlichungstag der Anmeldung: 


© Anmelder SIEMENS AKTIENGESELLSCHAFT 


01.09.93 Patentblatt 93/35 


Wlttelsbacherplatz 2 


© Benannte Vertragsstaaten: 


D-80312 MUnchen(DE) 




DE FR GB rr 


© Erfinder. Woss, Frledrich, DIpL-lng. 




Sternstrasse 11 




W-8156 Otterflng(DE) 




Erfinden Mages, Josef 




Ludwig-Berger-Strasse 26 




W-8423 Abanaberg(DE) 



© Verfahren zur hlerarchlsch admlnlstrlerbaren kennungsorlentleiten Frelgabesteuerung fUr 

bodleneraufgabenbezogene Zugrlffsanwelsungen auf elne Datenbasls elner programmgestauerten 
Kommunlkatlonsanlage. 



CD 
CO 

in 



in 
m 



© Zum Schutz vor Zugriffen durch Unberechtigte 
1st Wr die Betriebstechnik-Schnittstelle einer pro- 
grammgesteuerten Kommunikationsanlage eine hier- 
archisch strukturierte, kennungsorientierte Freigabe- 
steuerung vorgesehen, die mit "Speziaikennungen" 
administrierbar ist Als "Speziaikennungen tt sind im 
einzelnen eine Administratorkennung vorgesehen, 
mit der im wesentlichen zugriffsberechtigte Benut- 
zer, sowie deren individuelle Funktionsberechtigun- 
gen festgelegt werden kGnnen. Mit einer 
Administrator-Oberwacherkennung lassen sich Erfor- 
demisse festlegen, die erfQIlt sein mGssen, bevor die 
unter der Administratorkennung beabsichtigten Vor- 
gange ausgefQhrt werden. Eine Freigabe von Lei- 
stungsmerkmalen der programmgesteuerten Kom- 
munikationsanlage ist nur mit einer Herstellerken- 
nung mSglich. Aufgrund der mit den einzelnen Spe- 
zialkennungen erzielbaren Rexibilftfit der Freigabe- 
steuerung wird eine optimale Anpassung an die Si- 
cherheftsbedUrfnlsse eines Jeweiligen Anlagenbetrei- 
bers errelcht 
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Programmgesteuerte Kommunikationsanlagen 
dienen in Kommunikationssystemen zur Verbin- 
dung von Endgeraten untereinander und zur Ver- 
bindung dieser Endgerate mit Kommunikationsnet- 
zen. 

Die Vielfalt bekannter Kommunikationssysteme 
reicht von einfachen Telefonsystemen fUr die aus- 
schlieflliche Ubertragung von Sprache bis bin zu 
komplexen ISDN-Kommunikationssystemen 
(Integrated Services Digital Network) mit simultaner 
Mehrfach- "oder auch Mischkommunikation von 
Sprache, Text. Bild und Daten. 

An die Kommunikationsanlage im ISDN-Kom- 
munikationssystem sind Endgerate mit vielfaltigen 
Leistungensmerkmaien anschiieBbar - von analo- 
gen und dig'rtalen Telefonen, Fernkopierern, multi- 
funktionalen Terminals, Arbeitsplatzsystemen, Per- , 
sonalcomputern, Teletext- und Bildschirmtextstatio- 
nen, bis hin zu Datenterminals. 

Aus einer Sonderausgabe von "Telcom report" 
- ISDN im BUro - 1985, ISBN 3-8009-3846-4, Sie- 
mens Aktiengesellschaft, ist ein derartiges Kommu- 
nikationssystem bekannt. 

Die solchen Kommunikationssystemen zugrun- 
deliegende Kommunikationsanlage ist modular auf- 
gebaut und stellt im Prinzip eine digitale Datenver- 
arbeitungsanlage mit einer Vielzahl von Peripherie- 
einheiten dar. 

Zur AusfUhrung spezieller Dienste und Aufga- 
ben sind im Rahmen eines sogenannten Server- 
Konzeptes moduiare Einherten - Server - vorgese- 
hen, die mit eigener "Inteiligenz" diese speziellen 
Aufgaben Qbernehmen. 

So werden mit einem sogenannten Betriebs- 
und Datenserver zum Beispiel Leistungsmerkmale 
fUr ein elektronisches Datenbuch, IQr Funktionen 
zur Datenerfassung, Datenbearbeitung und Daten- 
transport, sowie zur DurchfQhrung von Steuerungs- 
auftragen angeschlossener Rechner, zur VerfUgung 
gestellt 

Ein sogenannter Sprachinformationsserver bie- 
tet den angeschlossenen Teilnehmern die Moglich- 
keit, ihren TelefonanschluB auf personliche Sprach- 
postfacher umzuleiten. 

Ein Text- und Faxserver bietet unter anderem 
Leistungsmerkmale an, die eine Umsetzung von 
Teletext auf Telefax durchfQhren, wenn beim Emp- 
fanger kein telefaxfahiges Endgerat vorhanden ist 

Jeder dieser Server kann im Prinzip als eine 
fUr sich eigenstandige Datenverarbeitungseinrich- 
tung angesehen werden, die programmtechnisch 
und auch 'Hardware'-maBig mit einer ebenfalls 
rechnergesteuerten Durctischalteeinhert der Kom- 
munikationsanlage verbunden ist. An die Durch- 
schalteeinheit, die gewissermaBen das Basismodul 
der Kommunikationsanlage bildet, sind die Endge- 
rate angeschlossen. 



Der programmtechnische Teil der Kommunika- 
tionsanlage, allgemein mit System-Software be- 
zeichnet, ist aufgaben- bzw. funktionsorientiert in 
eine Vermittlungstechnik-, eine Sicherheitstechnik- 

5 und eine Betriebstechnik-Software gegliederL 2u 
jedem dieser Software-Module gehort in der Durch- 
schalteeinheit sowie in den Servern jeweils eine 
. Vielzahl von funktionsbezogenen Programm-Modu- 
len, deren Abarbeitung in Form sogenannter 

10 Tasken' von einem Betriebssystem koordiniert 
werden. 

Innerhalb der VermHtlungs-Software, die sich in 
die Funktionskomplexe Peripherietechnik, Leitungs- 
technik und Vermittlungstechnik unterteilen laBt. 

15 fQhrt die Peripherietechnik im wesentlichen Daten- 
und Informations-Transportfunktionen aus. 

Die Leitungstechnik hat die Aufgabe, die 

Schnittstelle zur Peripherietechnik an die ISDN- 
Schnittstelle zur Vermittlungstechnik anzupassen. 

20 Die Vermittlungstechnik erbringt die eigentli- 

chen Leistungen IQr die Benutzeroberflache der 
Endgerate bzw. fOr die Schnittstellen zu den ver- 
schiedenen Netzen. 

Die Sicherheits-Software sammelt auftretende 

25 Fehlersignale aus Soft- und Hardware-Komplexen 
und veranlaBt die erfbrderiichen Schritte um Fehler 
zu beheben, fehlerhafle Funktionskomplexe durch 
andere zu ersetzen und entsprechende Fehlermel- 
dungen auf einem Betriebsterminal zur Anzeige zu 

30 bringen. 

Unter Betriebstechnik ist die Verwaltungs- und 
Wartungs-Software der Kommunikationsanlage zu 
verstehen, die dafUr vorgesehen ist, um das Inbe- 
triebssetzen und Inbetriebhalten sowie das Steuem 

35 des gesamten Kommunikationssystems zu ermog- 
lichen. Dazu zahlt auch das Laden von Program- 
men in die Kommunikationsanlage, das Verteilen 
und Starten dieser Programme in den verschiede- 
nen Systemeinheiten, das Aktivieren und Deaktivie- 

40 ren von Systemfunktionen sowie das Erfassen und 
Archivieren aller betrieblichen Veranderungen des 
Gesamtsystems. 

Die Betriebstechnik stellt gewissermaBen eine 
Schnittstelle zur Funktioneneinstellung einer pro 

45 grammgesteuerten Kommunikationsanlage dar. Um 
diese Schnittstelle im Sinne einer Bedienerfreund- 
lichkeit unkompliziert und moglichst komfortabel 
auszugestalten, werden von der Kommunikations- 
anlage eine Vielzahl von Applikationsprogrammen 

50 zur VerfQgung gestellt, die im wesentlichen dazu 
dienen, um nach Bedieneraufgaben formulierte 
Funktionsanweisungen in fQr die Betriebstechnik 
der Kommunikationsanlage verstandliche betriebs- 
technische Einzelanweisungen umzusetzen. Die 

55 betriebstechnischen Einzelanweisungen sind nach 
vermittlungstechnischen Gestchtspunkten struktu- 
riert und stellen gewissermaBen das GrundgerOst 
zur BnfluBnahme auf die Kommunikationsanlage 
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dar. 

Der GroSteil der vorgesehenen betriebstechni- 
schen Einzelanweisungen beeinfluBt unmittelbar die 
in einer Datenbasss einer program mgesteuerten 
Anlage hirrterlegten betriebstechnikbezogenen In- 
formation en, die das Verhaften und die Funktions- 
weise der Kommunikationsanlage, z. B. gegenUber 
den einzetnen Kommunikationsteilnehmern, festle- 
gen. 

Aufgrund der nahezu unbegrenzten EinfluB- 
moglichkeiten. die mit der Betriebstechnik-Schnrtt- 
stelle zur VerfUgung stehen und die insbesondere 
auch Zugriffe auf in eine ISDN-Kommunikationsan- 
lage zwischenspeicherbare kommunikationsteilneh- 
merindrviduelle Daten erlauben, darf die 
Betriebstechnik-Schnittstelle nur berechtigten Be- 
nutzern zugangfich sein. 

Oblicherweise wird den berechtigten Benutzem 
jeweils ein Kennungscodewort mrtgeteift das durch 
eine individuelles PaBwort ergSnzt werden kann 
und in einen von den Benutzern nicht lesbaren 
Speicherbereich der datenverarbehenden Einrich- 
tung eingetragen wird. In den meisten Fallen wer- 
den diese Eintragungen von einem beretts berech- 
tigten Benutzer Oder vom Kundendienst-Personal 
der Herstellerfirma ausgefUhrt. Als Kennungscode- 
worte und Pafiworte werden alphanumerische Zei- 
chenfolgen verwendet 

In der Regel hat damit jeder Berechtigte die 
absolute Zugriffeberechtigung zum gesamten Sy- 
stem. In vielen Fallen wirkt sich diese Tatsache 
nicht weiter storend aus, insbesondere dann nicht 
wenn Eingriffe in die Betriebstechnik der Kommuni- 
kationsanlage auBerst selten anfallen. und keine 
schQtzenswerten Daten in der Kommunikatiortsanta- 
ge gespeichert werden. Dagegen genQgt diese her- 
kommliche Art der undifferenzierten Vergabe von 
Zugangsberechtigungen nicht den Arrforderungen 
solcher Anlagenbetreiber, die Qber die Betriebs- 
technik in ihrer Kommunikationsanlage haufig An- 
derungen vomehmen mtlssen, Oder ihre Kommuni- 
kationsanlage auch als Datenverarbeitungseinrtcrt- 
tung im herkommlichen Sinne benutzen. 

Aufgabe der vorliegenden Erfindung ist es, fQr 
die Vergabe von Zugriffsberechtigungen ein Ver- 
fahren anzugeben, mit dem es einerserts mdglich 
ist, eine SuBerst komplexe Verteilung und Differen- 
zierung der Zugriffsberechtigungen vorzugeben, 
das andererserts aber auch fQr solche Benutzer. 
deren Anforderungen bezUglich der Vergabe von 
Zugriffsberechtigungen gering sind, keinen Auf- 
wand erfordert 

Geldst wird diese Aufgabe erfindungsgemaB 
durch die Merkmale des Patentanspruchs 1. 

Der wesentliche Vorteil des erfindungsgema- 
Ben Verfahrens ist in seiner Flexibilitat und in der 
lndividualit§t zu sehen. wie den SicherheitsbedQrf- 
nissen etnes jeweiligen Anlagenbetreibers auf ein- 



fache Weise entsprochen werden kann. Da das 
erfindungsgemaSe Verfahren unterschiedliche 
Aufgaben- und Funktionskomplexe mit individuellen 
Sicherhertsaspekten berUcksichtigt, lassen sich 
s auch mehrere im Prinzip voneinander unabhangige 
Funktionseinheiten gemeinsam durch ein Verfahren 
sicherheitstechnisch verwahen. 

Vorteilhafte Weiterbildungen der Erfindung sind 
in den UnteransprUchen angegeben. 
10 Zum detaillierten Verstandnis der Erfindung 

und ihrer Weiterbildungen, insbesondere zur Darle- 
gung weiterer vorteilhafter Aspekte wird im foigen- 
den ein AusfQhrungsbeispiel der Erfindung anhand 
der Zeichnung naher beschrieben. 
is Dabei zeigen: 

FIG 1 in schematischer Blockdarstellung ei- 
nes bekannten ISDN-Kommunikations- 
systems im Zusammenhang mit Perh 
pheriegeraten, 

20 FIG 2 ein Schalenmodell zur Darstellung der 

Software-ArchHektur der bekannten 

Kommunikationsanlage, 
FIG 3 ein auf einem Betriebsterminal zur An- 

zeige kommendes Hauptverzeichnis 
25 von bedieneraufgabenbezogenen Zug- 

riffsanweisungen, 
FIG 4 ein Beispiel fUr eine Zuordnung von 

Zugriffsanweisungen zu Zugrirfsldas- 

sen, 

ao FIG 5 eine Auflistung von zur Administration 
vorgesehenen Funktionsfreigaben, und 
FIG 6 ein Beispiel fUr die in einer Benutzer- 
kennungstabelle und Benutzerprofilta- 
befle vermerkten Bntrage. 
35 In FIG 1 ist eine bekannte Kommunikationsan- 

lage zusammen mit einer Vielzahl von anschlieBba- 
ren Geraten schematisch dargestellt Wesentliche 
Bestandteile der Kommunikationsanlage sind eine 
Durchschalteeinheit SWU und eine Betriebs-Daten- 
40 servereinheit ADS. Diese beiden Einheiten sind er- 
ganzt durch eine Sprachinformations- Servereinheit 
VMS und eine Text-, Faxservereinheit TFS. 

Priruipiell sind diese BnheHen SWU, ADS, 
VMS, TFS als reine Software-Module aufzufassen, 
45 d. h. , daB die gewahHe Darstellung nicht an eine 
bestimmte Art und Verteilung der verwendeten 
Hardware gebunden 1st. Insbesondere kann der 
Durchschalteeinheit SWU und der Betriebs-Daten- 
servereinheit ADS dieselbe Prozessoreinrichtung 
w zugeordnet sein. 

In einer Minimalkonfiguration setzt sich die 
Kommunikationsanlage funktional nur aus der 
Durchschalteeinheit SWU fUr die DurchschaHever- 
mittlungsfunktionen und der Betriebs-Datenserver- 
65 einhert ADS fQr die Speichervermittlungsfunktionen 
zusammen. SMmtliche Einheiten sind im Sinne et- 
nes Zusamrnenwirkens Qber einen Systembus mit- 
einander verbunden. 
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GegenQber der Durchschalteeinheit SWU, die 
im wesentlichen lediglich Informationswege ver- 
knQpft, steltt die Betriebs-Datenservereinheit ADS 
eine zusatzlich mit der Organisation. Steuerung, 
Verwaltung und Wartung der gesamten Kommuni- 
kationsanlage betraute Systemeinheit dar. 

Die dazu in der Betriebs-Datenservereinheit 
ADS implementierten Funktionen lassen sich in ei- 
nem systembetriebstechnischen Funktionskomplex 
und in verschiedene optionaie Datenanwendungs- 
funktionen unterteilen. Zu den systembetriebstech- 
nischen Funktionen zahlen z. B. das Inbetriebset- 
zen der Anlage, das Laden von Systemprogram- 
men, das Verteilen und Starten dieser Systempro- 
gramme, das Aktivieren bzw. Deaktivieren von Sy- 
stemfunktionen, sowie das Erfassen aller betrtebli- 
chen Veranderungen. In den Bereich der Datenan- 
wendungsfunktionen fallen im wesentlichen Daten- 
transportfunktionen fUr einen Transport verschie- 
denartiger Daten, wie GebQhrendaten und System- 
anwenderdateien zwischen der Kommunikationsan- 
iage und anderen Datenbearbeitungssystemen, 
ebenso wie Datenerfassungsfunktionen, z.B. fur 
eine GebQhrenermittlung, Oder fUr verkehrsstatisti- 
sche Daten und Datenbearbeitungsfunktionen, z.B. 
fUr eine Aufbereitung von ermittelten Daten. 

FUr die AusfQhrung von Funktionen wird eine 
Vielzahl von Programmen bereitgehaften, die bei 
Bedarf abgearbeitet werden. Zur Verwaltung dieser 
Programme dient sowohl ein Echtzeit-Betriebssy- 
stem, das im wesentlichen die systemtechnikbezo- 
genen Programme verwaltet, als auch ein 
Teilnehmer-Betriebssystem (Timesharing-Betriebs- 
system), dem die auf die Datenanwendungsfunktio- 
nen bezogenen Programme zugeordnet sind. 

Der simultane Betrieb eines Echtzeit-Betriebs- 
systems und eines Teilnehmer-Betriebssystems in 
einer Kommunikationsanlage ist aus der europai- 
schen Patentanmeldung; Aktenzeichen 89 104 
431.0 bekannt. 

Die Betriebs-Datenservereinheit ADS ist mit 
Speichereinrichtungen verbunden, in denen 
System- und Anwenderprogramme sowie verschie- 
denartige Daten, z.B. GebUhrendaten und verkehrs- 
statistische Daten, gespeichert sind bzw. wahrend 
des Betriebs der Anlage hinterlegt werden konnen. 
An die Betriebs-Datenservereinheit ADS sind des 
weiteren Bedienplatze, sogenannte Betriebstermi- 
nals BT t angeschlossen. Prinzipiell sind Qber ein 
Betriebsterminal BT Anderungen samtlicher Kortfi- 
gurationsdaten der gesamten Kommunikationsanla- 
ge m&glich. Im wesentlichen werden jedoch Uber 
das Betriebsterminal BT Verwaltungs- und War- 
tungsaufgaben durchgefQhrt 

In FIG 2 ist anhand eines Schalenmodelles die 
SoftwarearchHektur der Durchschalteeinheit SWU 
wie auch der Betriebs-Datenservereinheit ADS ver- 
anschaulicht. Unter der Verwaltung eines Betriebs- 



systems OS nimmt die Durchschalteeinheit SWU 
die Funktionen der Vermittungssoftware, bestehend 
aus der Peripherietechnik PP. der Lertungstechnik 
DH und der Vermittlungstechnik CP war und bein- 
5 haltet zudem die die Sicherhertstechnik DEP und 
Betriebstechnik AM betreffenden Softwarekomple- 
xe. Samtliche Softwarekomplexe haben Zugriff auf 
eine Datenbasis DB, in der samtliche veranderbare 
Kortfigurationsdaten, d.h. Konfigurationsparameter, 

io hinterlegt sind bzw. von der Software ausgelesen 
und eingetragen werden. 

Die Betriebs-Datenservereinheit ADS steht mit 
der Software der Durchschalteeinheit SWU in en- 
ger Verbindung und wetst ebenfalls von einem Be- 
ts triebssystem OS verwaltete, der Vermittlungssoft- 
ware, der Sicherhertstechnik und der Betriebstech- 
nik zugeordnete Softwarekomplexe (nicht darge- 
stellt) auf. Zudem ist sie mit weiteren anwendero- 
rientierten Softwarekomplexen versehen. So bein- 

20 haltet die Software der Betriebs- und Datenserver- 
einheit ADS einen Komplex fUr GebUhrenerfassung 
und -bearbeitung GCU, einen Softwarekomplex zur 
Realisierung eines elektronischen Telefonbuches 
ETB sowie einen Komplex zur Bildung einer Art 

25 Software-Schnittstelle M MI/EMM L zur Umsetzung 
von bedieneraufgabenbezogenen Zugriffsanweisun- 
gen auf, von der Betriebstechnik AM ausfQhrbare 
Bnzelanweisungen. Diese Software-Schnittstelle 
wird haufig Mensch-Maschinen-lnterface MMI ge- 

30 nannt — 

AuSerdem umfaBt die Betriebs-Datenserverein- 
heit ADS die Steuerung der systemtechnischen 
Peripherie, z.B. der angeschlossenen Speicherein- 
richtungen und der Betriebsterminals BT, sowie die 

35 Steuerung und den AnschluB der Kommunikations- 
anlage an eine DVA-Anlage. Zur Hinteriegung der 
variablen Daten, d.h. der Konfigurationsparameter, 
fQr die Softwarekomplexe der Betriebs-Datenser- 
vereinheit ADS ist wiederum eine Datenbasis DB 

40 vorgesehen. 

Es sei an dieser Stelle noch bemerkt, daB die 
in der F1GUR vorgenommene Trennung zwischen 
Softwarekomplexen innerhalb der Durchschalteein- 
heit SWU und der Betriebs-Datenservereinheit ADS 

45 im wesentlichen nur den modularen Aufbau der 
Software verdeutlichen soil. In der Praxis stehen 
die Softwarekomplexe der Durchschalteeinheit 
SWU und der Betriebs-Datenservereinheit ADS zu- : 
einander in enger Verbindung, insbesondere ist die 

so Software-Schnittstelle MM1/EMML auch eine 
Schnittstelle zur Betriebstechnik AM der Durch- 
schafteeinheit SWU, in deren Datenbasis DB somit 
auch Uber die Software-Schnittstelle MMl/EMML 
VerSnderungen vorgenommen werden konnen. 

65 Im weiteren wird davon ausgegangen, daB der 
Zugriff auf die in der Betriebs-Datenservereinheit 
ADS befindlichen Softwarekomplexe der GebUhren- 
erfassung und -verarbeitung GCU, des elektroni- 
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schen Datenbuchs ETB und der Software-Schnitt- 
stelle M MI/EMM L einer kennungsorientierten Frei- 
gabesteuerung FS gemaB der Erfindung urrterwor- 
fen sind. 

Je nach Aufbaustufe der Kommunikationsanla- 
ge konnen zudem noch wettere Softwarekomplexe, 
z. B. fQr eine automatische Anrufverteilung 
(automatically call-distribution) und einer netzge- 
steuerten Konfiguration (network management-cen- 
ter), zum Konfigurieren einer Kommunikationsanla- 
ge Uber ein Kommunikationsnetz der kennungs- 
orientierten Freigabesteuerung FS unterstellt wer- 
den. 

In FIG 3 ist eine Bildschirmmaske dargestellt, 
die auf einem Bedienterminal BT zu Beginn einer 
Verwaltungs- Oder Wartungssitzung erscheint Ei- 
ner Bedienperson wird, gesteuert durch die in der 
Betriebs-Datenservereinheit ADS befindliche 
Software-Schnrttstelle MMI/EMML, ein nach Bedie- 
neraufgaben gegliedertes Vorgehen ermoglicrrt Die 
Softwareschnittstelle MMI/EMML sieht eine textun- 
terstUtzte BedienerfQhrung vor und setzt eine von 
dem Bediener ausgewahlte Bedieneraufgabe in 
eine Vielzahl von Einzelanweisungen, sogenannte 
AMO's (Administration Maintenance Order) urn. Die 
wesentlictie Aufgabe "der Software-Schnrttstelle 
MMI/EMML besteht damit darin, die Aufgaben, die 
ein Bediener an der Kommunikationsanlage ausfUh- 
ren mochte, als solche zu erfragen und in eine 
Sequenz von Einzelanweisungen (AMO's) zu dber- 
setzen, die nach Programm- und Hardware- Struktu- 
ren oriented sind, und in ihren einzelnen Funktio- 
nen, Wirkungen und Zusammenhangen nur von 
speziell geschuhtem Personal verstanden werden 
konnen. Jede der in der FIGUR aufgelisteten Ob- 
jektgruppen laBt sich auswahlen und in eine Viel- 
zahl von bedieneraufgabenbezogenen Objektunter- 
gruppen aufgliedern. 

Zur funktionalen Klassifiziemng konnen samtli- 
che von der Software-Schnrttstelle MMI/EMML zur 
VerfQgung gesteltten bedieneraufgabenbezogenen 
Zugriffsanweisungen, sogenannten Zugriffsklassen, 
zugeordnet werden. In der Software-Schnittstelle 
MMI/EMML sind dazu spezielle Zuordnungsanwei- 
sungen vorgesehen, .die ausschlieBlich einer eige- 
nen Zugriffskiasse, die gewissermaflen eine privile- 
gierte Zugriffskiasse darstellt, zugeordnet sind. Au- 
Berdem sind Zugriffsanweisungen, die ein Sperren 
und Freigeben von Leistungsmerkmalen der Kom- . 
munikationsanlage ermttglichen, ebenfalls aus- 
schlieBlich einer etgenen Zugriffskiasse, die auch 
als privilegierte Zugriffskiasse bezeichnet werden 
kann, zugeordnet 

In FIG 4 soil die Zuordnung von Zugriffsanwei- 
sungen zu Zugriffsklassen anhand eines einfachen 
Beispiels aufgezeigt werden. Einer Zugriffskiasse 0, 
die im folgenden auch als erste privilegierte Zug- 
riffskiasse bezeichnet wird, sind die Zugriffsanwei- 



sungen zugeordnet, die ein Sperren und Freigeben 
von Leistungsmerkmalen A.B.C ermoglichen. Einer 
Zugriffskiasse 1, die im weiteren auch als zwerte 
privilegierte Zugriffskiasse bezeichnet wird, sind 

5 die Zuordnungsanweisungen zugeordnet, mit de- 
nen eine Zuordnung von Zugriffanweisungen zu 
Zugriffsklassen vorgenommen werden kann. 

Einer weiteren Zugriffskiasse 2 sind z.B. Zug- 
riffsanweisungen zugeordnet, die das Andem und 

io Tauschen von Teilnehmerrufnummern betreffen. Ei- 
ner Zugriffskiasse 3 sind z.B. Zugriffsanweisungen 
zugeordnet, die das Abfragen der Anzahl amtsbe- 
rechtigter Nebenstellen sowie das Abfragen und 
Andem von Teilnehmerberechtigungen betreffen. 
15 Einer Zugriffskiasse 4 sind Zugriffsanweisungen zu- 
geordnet, die unter anderem das Abfragen, L6- 
schen und Bnrichten von Teilnehmerdaten betref- 
fen. 

Zur selektiven Freigabesteuerung fUr bediener- 

20 aufgaben bezogene Zugriffsanweisungen sieht die 
Erfindung ein flexibles Verfahren vor, das an das 
SicherheitsbedQrfnis eines Anlagenbetreibers ange- 
paflt werden kann, wodurch sich ein Sicherheits- 
spektrum abdecken laBt, das von einem bis zu 

25 einer beliebigen Anzahl von Berechtigten mit unter- 
schiedlichen Zugriffsberecrttigungen reicht. Jede 
Bedienperson, die an einem Bedienterminal BT der 
Kommunkationsanlage Verwaltungs- Oder War- 
tungsaufgaben ausfUhren mochte, muB sich prinzh 

30 piell mit einer sogenannten Kennung gegenQber 
der Kommunikationsanlage identifizteren. In Abhan- 
gigkeit dieser Kennung sind die Bedienerpersonen 
jeweils zu unterschiedlichen Anlagenzugriffen be- 
rechtigt Prinzipiell kann zu jeder Kennung ein PaB- 

35 wort vorgesehen werden, das die Autherrtizrtat des 
die betreffende Kennung benutzenden Bedieners 
bestatigen soli. 

In FIG 5 sind die zur Administration der Freiga- 
besteuerung dienenden 'Spezialkennungen' zusam- 

40 men mit den durch sie jeweils freigegebenen Funk- 
tionen bzw. Zugriffen aufgefQhrt 

Eine der drei Spezialkennungen, die im folgen- 
den als Administratorkennung bezeichnet wird, ist 
immer, also unabhangig vom SchutzbedUrfnis des 

45 Anlagenbetreibers vorgesehen. Mit der Administra- 
torkennung, die durch ein PaBwort vor MiBbrauch 
geschQtzt werden kann, wird eine Fretgabe fUr die 
zur Administratorkennung gehdrig aufgelisteten 
Funktionen erteift Sollen mehrere Benutzer dazu 

50 berechtigt werden, verwaltungs- und wartungstech- 
nische Aufgaben auszufdhren, so wird fUr die be- 
rechtigten Benutzer jeweils eine Benutzerkennung 
festgelegt, die in einer Benutzerkennungstabelle 
vermerkt wird. Mit der Administratorkennung ist die 

65 Benutzerkennungstabelle natilrlich auch fUr Ande- 
rungen freigegeben. 

Des weiteren berechtigt die Administratorken- 
nung zu jeder in der Benutzerkennungstabelle test- 



9 



EP 0 5S7 566 A1 



10 



geiegten Benutzerkennung Zugriffsklassen zuzu- 
ordnen, die in einer Benutzerprofiltabelle als zu 
einer jeweiligen Benutzerkennung zugehorig ver- 
merkt werden. 

Mit der Administratorkennung konnen auBer- 
dem auch PaBwort-Sperren, die ein Benutzer zu 
seiner Benutzerkennung vorgesehen hat, rOckge- 
setzt werden, wodurch die betreffende PaBwort- 
Sperre deaktiviert wird. 

Unter der Administratorkennung kann auch zu 
jeder der einer jeweiligen Benutzerkennung zuge- 
ordneten Zugriffsklassen eine Freigabebedingung, 
z.B. eine PaBwort-Sperre, festgelegt werden. Mit 
einer PaBwort-Sperre erfblgt die Freigabe der be- 
treffenden Zugriffsklasse nur dann, wenn ein ande- 
rer Benutzer - der mit dem Benutzer nicht identisch 
ist, unter dessen Benutzerkennung die Zugriffsklas- 
se freigegeben werden soil - mit seinem PaBwort 
einer Freigabe zustimmt. 

Weiterhin wird mit der Administratorkennung 
eine Freigabe fQr alle Zugriffsklassen, auBer der 
Zugriffsklasse 0 (auch erste privilegierte Zugriffs- 
klasse genannt), erteilt, d.h. daB alle den freigege- 
benen Zugriffsklassen zugeordneten Zugriffsanwei- 
sungen zur VerfQgung stehen. 

Die Administratorkennung berechtigt auBerdem 
zum Lesen und Sichern einer Protokolldatei 
(Logfile), die vom Steuerungssystem der Kommuni- 
kationsanlage zyklisch erstellt wird, und in der we- 
nigstens die wahrend eines jeweiligen Zeitraumes 
mit den Spezialkennungen vorgenommenen Funk- 
tionen bzw. die Freigabesteuerung betreffenden 
Anderungen vermerkt werden. 

Sind in der Kommunikationsanlage Kundenda- 
teien eingerichtet, dann berechtigt die Administra- 
torkennung auch zur Abspeicherung dieser Kun- 
dendateien auf die an die Betriebs-Datenserverein- 
heit ADS angeschlossenen Speichereinrichtungen. 

Bei entsprechendem SicherheitsbedQrfnis kann 
eine weitere 'Spezialkennung', eine sogenannte Ad- 
ministratorQberwacherkennung eingerichtet werden, 
die im wesentichen zur Kontrolle der unter der 
Administratorkennung vorgenommenen Vorgange 
dient. Die AdministratorQberwacherkennung kann in 
der Praxis z.B. einem Arbeitnehmervertreter zuge- 
ordnet werden, der damit eine gewisse Kontroll- 
funktion ausUben kann. 

Mit der AdministratorQberwacherkennung, die 
selbstverstandlich auch durch ein PaBwort ge- 
schQtzt werden kann, k5nnen die unter der Admini- 
stratorkennung ausfQhrbaren Vorgange gezielt mrt 
Freigabebedingungen z.B. Pafiwortsperren, beiegt 
werden. Mit einer Pafiwortsperre wird ein Vorgang 
unter der Administratorkennung nur dann freigege- 
ben, wenn das der AdministratorUberwacherken- 
nung ztigehSrige PaBwort eingegeben wird, d.h. 
daB fQr den vom Administrator beabsichtigten Vor- 
gang der AdministratorU berwacher seine Zustim- 



mung geben muB. In der dargestellten FIGUR ist 
ein solcher Pafiwortschutz beispieihaft fUr das Fest- 
legen der Benutzerkennungen sowie fUr das Lesen 
und Sichern der Protokolldatei als auch fQr das 

5 Sichern der Kundendateien vorgesehen. 

Mit der AdministratorQberwacherkennung wird 
des weiteren auch eine Freigabe daflir erteilt, die in 
der Benutzerkennungstabelle vermerkten Benutzer- 
kennungen zu lesen. Des weiteren wird mit der 

10 AdministratorQberwacherkennung eine Freigabe fUr 
alle Zugriffsklassen, auBer der Zugriffsklasse 0 und 
der Zugriffsklasse 1 (vgl. Fig 4) erteilt. Auch ein 
Lesen und ein Sichern der Protokolldateien ist frei- 
gegeben. 

is Mit einer weiteren 'Spezialkennung', einer so- 

genannten Herstellerkennung, die dem Anlagenbe- 
tretber in der Regel nicht zuganglich ist und im 
Regelfalle zur bei Inbetriebnahme und bei auBerge- 
wohnlichen Systemarbeiten und Umstellungen be- 

20 nutzt wird, wird eine Freigabe fQr die Zugriffsklasse 
0 erteilt Damit ist sichergestellt, daB nur der Her- 
steller selbst den Leistungsumfang der Kommuni- 
kationsanlage festlegen kann, und Leistungsmerk- 
male, die zwar softwaremaBig in der Anlage reali- 

25 siert sind, vom Anlagenbetr eiber jedoch nicht ver- 
traglich erworben wurden, nicht ohne Kenntnis des 
Herstellers in Betrieb genommen werden konnen. 
Des weiteren ist mit der Herstellerkennung ein 
RQcksetzen der PaBwortsperren fQr die 

30 Administrator- und AdministratorQberwacherken- 
nung moglich, so daB z. B. bei Verlust des der 
Administratorkennung zugeordneten PaBwortes die 
Administratorkennung auch ohne Eingabe des zu- 
geordneten PaBwortes zu den gewQnschten Freiga- 

35 ben fUhrt. 

An dieser Stelle sei bemerkt, daB zu jeder 
Kennung, sofern mit ihr eine Freigabe bewirkt wur- 
de, das bis zu diesem Zeitpunkt fUr diese Kennung 
geltende PaBwort geandert und die PaBwortsperre 

40 aktiviert Oder deaktiviert werden kann. Letzteres 
bedeutet, daB die betreffende Kennung nicht paB- 
wortgeschQtzt ist 

Mit der Herstellerkennung lassen sich des wei- 
teren Pafiwortstrategiemerkmale festlegen, insbe- 

45 sondere kann eingestellt werden, wieviele Zeichen 
(Buchstaben und Zrffern) eine Kennung aufweisen 
muB Oder dart, Oder wieviele Zeichen innerhalb 
eines PaBwortes gleich sein dQrfen. Auch kann 
festgelegt werden, in wefchen zertiichen Abstanden 

so das PaBwort geandert werden muB, damit es seine 
GQItigkert nicht verfiert, und wieviele Fehlversuche 
bei einer PaBworteingabe zugelassen werden, be- 
vor die betreffende Kennung gespent wird und wie 
lang diese Sperrzeit dann anhahen soil. 

65 Mit der Herstellerkennung wird auch eine Frei- 

gabe fUr das Lesen der Protokolldatei erziett Gn . 
Andem Oder Loschen der Protokolldatei ist mit der 
Herstellerkennung nicht vorgesehen; dadurch wird 
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bewuSt verhindert, daB unler der Herstellerkennung 
vorgenommene Aktivitaten, die in der Protokolldatei 
aufgezeichnet werden, durch nachtragliches Aban- 
dern der Protokolldatei vertuscht werden konnen 
und damrt nicht mehr nachweisbar bzw. nachvoll- s 
ziehbar waren. 

fn FIG 6 wird zur Veranschaulichung anhand 
eines Beispiels eine Zuordnung von Zugriffsklassen 
zu mehreren Benutzerkennungen dargestellt Die 
Bildung von Benutzerkennungen wird natUrlich nur io 
dann vorgenommen, wenn die Sicherheitsbelange 
des Anlagenbetreibers es erfordern Oder zulassen, 
mehrere Bedienerpersonen mit verwaltungs- und 
wartungsbezogenen Aufgaben zu betrauen. In der 
Darstellung der FIGUR sind insgesamt vier Benut- is 
zer vorgesehen, denen jeweils eine Benutzerken- 
nung individuell zugeordnet ist. Diese Kennungen 
sind in einer Benutzerkennungstabelle BKT ver- 
merkL Wie bererts im Zusammenhang mit den 
'Spezialkennungen' erwahnt, kann fUr jede Ken- 20 
nung eine PaBwortsperre aktiviert werden. Jede der 
Benutzerkennungen fQhrt zur Freigabe von Zug- 
riffsklassen, (d.h. zur Freigabe von den betreffen- 
den Zugriffsklassen zugeordneten Zugriffsanwei- 
sungen), die zu jeder Benutzerkennung gehorig in 2s 
einer Benutzerprofiltabelle BPT vermerkt sind. Zum 
Beispiel ist fur die "Kundendienstkennung" eine 
Freigabe fUr die Zugriffsklasse 4, 5 und 6 vorgese- 
hen. Eine Freigabe fQr die Zugriffsklassen 0 Oder 1 
ist mit Benutzerkennungen generell nicht moglich. 30 

Jede der in der Benutzerprofiltabelle BPT zu 
einer jeweiligen Benutzerkennung vermerkten Zug- 
riffsklassen ist mit einer PaBwortsperre versehbar, 
die unter der Administratorkennung festgelegt wer- 
den kann. Damit ist eine Freigabe der betreffenden 35 
Zugriffsklasse nur dann moglich, wenn das einer 
anderen Kennung zugeordnete PaBwort zusatzlich 
eingegeben wird. Im vorliegenden Beispiel ist eine 
Freigabe der Zugriffsklasse 5 unter der 
"Kundendienstkennung" nur moglich, wenn das 40 
vom Benutzer 4 gewahlte PaBwort zusatzlich ein- 
gegeben wird. Eine Freigabe der Zugriffsklassen 4 
und 6 erfolgt dagegen ohne zusatzliches PaBwort 

Patentaneprtlche 45 

1. Verfahren zur hierarchtsch administrierbaren 
kennungsorientierten Freigabesteuerung fQr 
bedieneraufgabenbezogene Zugriffsanweisun- 
gen auf in einer Datenbasis (DB) einer pro- so 
grammgesteuerten Kommunikationsanlage ge- 
speicherte verwaltungs- und wartungsbezoge- 
ne Systemkonfigurationsdaten, wobei die Zug- 
riffsanweisungen an einem Betriebsterminal 
(BT) veranlaBt und jeweils in Form einer Abfol- 65 
ge von Einzelanweisungen von der Kommuni- 
kationsanlage ausgefQhrt werden, und die Zug- 
riffeanweisungen im Sinne einer funktionalen 



ZugriffsWassifizierung jeweils einer Oder meh- 
reren Zugriffsklassen zuordenbar sind; als Ken- 
nungen sind: 

- eine Administratorkennung vorgesehen. 
mit der eine Zugriffsfreigabe auf die Zug- 
riffsklassen und eine Freigabe zur Ande- 
rung 

— einer Benutzerkennungstabelle (BKT), 
in der zugriffsberechtigte Benutzerken- 
nungen vermerkbar sind, und 

— einer Benutzerprofiltabelle (BPT) er- 
folgt, in der fQr diese Benutzerkennungen 
jeweils freigegebene Zugriffsklassen ver- 
merkbar sind, 

- eine Administrator-Oberwacherkennung 
vorsehbar, mit der eine Freigabe zur Ein- 
stellung von Freigabebedingungen er- 
folgt, unter denen die mit der Administra- 
torkennung jeweils aus fUhrbaren Ande- 
rungen freigegeben werden, 

- eine Herstellerkennung vorsehbar, mit 
der eine Zugriffsfreigabe fQr eine erste 
privilegierte Zugriffsklasse erfolgt, der 
den Letstungsumfang der programmge- 
steuerten Kommunikationsanlage einstef* 
lende Zu griff sanweisung en zugeordnet 
sind, 

- sowie Benutzerkennungen vorsehbar, mit 
denen eine Zugriffsfreigabe auf die in der 
Benutzerprofiltabelle fUr eine jeweilige 
Benutzerkennung als freigegeben ver- 
merkten Zugriffsklassen erfolgt. 

2. Verfahren nach Anspruch 1 , 
dadurch gekannzelchnet, 

daB mit der Herstellerkennung eine Freigabe 
zum 

- Loschen von die Administrator- und Ad- 
ministratorQberwacherkennung betreffen- 
den PaBwortern und 

- zur Einstellung von PaBwortstrategie- 
merkmalen erfolgt 

3L Verfahren nach Anspruch 1 Oder 2, 
dadurch gekannzelchnet, 
dafl ausschliefilich mit der Herstellerkennung 
eine Freigabe der ersten privilegierten Zugriffs- 
klasse erfolgt. 

4. Verfahren nach einem der vorhergehenden An- 
sprQche, 

dadurch gekannzelchnet, 

daB einer zweiten privilegierten Zugriffsklasse 
Anderungen der Zuordnung von Zugrrffsanwei- 
sungen zu Zugriffsklassen bewirkende Zugriffs- 
anweisungen zugeordnet sind. 
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5. Verfahren nach Anspruch 4, 
dadurch gekennzelchnet 

daB ausschlieBlich mit der Administratorken- 
nung eine Freigabe der zweiten privilegierten 
Zugriffsklasse erfolgt. s 

6. Verfahren nach einem der vorhergehenden An- 
sprliche, 

dadurch gekennzelchnet, 

daB mit der Administratorkennung eine Freiga- 10 
be zur Einstellung von Freigabebedingungen 
erfolgt unter denen mit einer jeweiligen Benut- 
zerkennung ein Zugriff auf eine jeweilige Zug- 
riffsklasse freigegeben wird. 

1S 

7. Verfahren nach Anspruch 6, 
dadurch gekennzelchnet 

daB als Freigabebedingung unter denen ein 
Zugriff auf eine jeweilige Zugriffsklasse erfolgt 
ein einer anderen Benutzerkennung zugeord- 20 
netes PaBwort dient 

8. Verfahren nach einem der vorhergehenden An- 
sprUche, 

dadurch gekennzelchnet 25 

daB mit der Administratorkennung eine Freiga- 
be zum RQcksetzen von PaBwortern der Be- 
nutzerkennungen erfolgt. 

9. Verfahren nach einem der vorhergehenden An- 30 
sprUche, 

dadurch gekennzelchnet 

daB als Freigabebedingung fUr mit der Admini- 
stratorkennung jeweils ausfQhrbaren Anderun- 
gen ein der Administrator-Uberwacherkennung 35 
zugehoriges PaBwort dient. 

10. Verfahren nach einem der vorhergehenden An- 
sprUche, 

dadurch gekennzelchnet 40 

daB vom Steuerungssystem der Kommunika- 
tionsanlage eine zyJdische Protokolldatei er- 
stellt wird, in der wenigstens die wahrend ei- 
nes jeweiligen Zertraumes mit der 
Administrator- und/oder 45 

AdministratorQberwacher- und/oder Hersteller- 
und/oder Benutzerkennung vorgenommenen 
Anderungen vermerkt werden. 
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ZUGRIFFSKLASSE 0: 
(PRIViLEG.) 
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FIG 5 
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FIG6 
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